一、持股红线与合规架构
Commençons par le sujet le plus sensible : la structure de l’actionnariat. L’article, dans son essence, réaffirme la position de la Chine sur la sécurité nationale. Pour les activités liées à la cybersécurité, la notion de « contrôle étranger » est scrutée à la loupe. Concrètement, cela signifie que pour certaines licences clés, comme celles impliquant la cryptographie ou la gestion des données personnelles à grande échelle, une participation majoritaire étrangère est tout simplement interdite. C’est ce qu’on appelle la « ligne rouge de la détention d’actions ».
Je me souviens d’un client, une société israélienne de renom, spécialisée dans la détection d’intrusions. Ils étaient persuadés qu’en créant une coentreprise avec un partenaire local, ils pourraient garder 70% des parts. Grave erreur. Après avoir analysé l’article avec nos équipes, nous avons dû leur expliquer que pour obtenir la licence de « Sécurité des Réseaux et de l’Information » (une licence de base, mais indispensable), leur part ne pouvait pas dépasser 50%. Nous avons dû restructurer entièrement le deal, en faisant du partenaire chinois l’actionnaire majoritaire, tout en gardant le contrôle technique via des clauses de protection spécifiques.
Le point crucial ici est de ne pas raisonner en « pourcentage de capital » uniquement, mais en « contrôle effectif ». L’administration examine les statuts, les droits de veto, la composition du conseil d’administration. Un investisseur étranger peut détenir 49% des parts mais avoir un contrôle effectif via des dispositions contractuelles. Cela est souvent un motif de refus. La solution que nous recommandons souvent chez Jiaxi Fiscal est le montage en VIE (Variable Interest Entity), même si celui-ci est de plus en plus régulé. Mais pour la cybersécurité, il faut être très prudent. L’article 37 de la nouvelle loi sur la cybersécurité est très clair : les opérateurs d’infrastructures critiques doivent éviter tout risque d’influence étrangère. Mon conseil : ne jouez pas avec le feu. Assurez-vous que la structure juridique reflète fidèlement et honnêtement le contrôle.
Un autre point souvent négligé est l’origine des fonds. L’article exige que les investissements soient « propres et légitimes », mais en pratique, pour une société de cybersécurité, ils regardent aussi l’historique des investisseurs. Si votre investisseur provient d’un pays sous sanctions américaines, ou s’il a des liens avec des fonds gouvernementaux étrangers sensibles, l’examen sera beaucoup plus long et méticuleux. Il faut préparer des organigrammes d’actionnariat clairs, remontant jusqu’à l’actionnaire ultime.
二、资质许可的迷宫
Ensuite, il y a le sujet des « licences et permis ». C’est souvent le moment où les investisseurs étrangers, même les plus aguerris, perdent leur latin. L’article « Conditions pour l'établissement » fait référence à tout un corpus de licences, comme le « Permis d'Exploitation des Services de Sécurité des Réseaux et de l'Information » (等级保护测评资质) ou le « Permis de Cryptographie Commerciale » (商用密码产品资质). Chaque permis a ses propres conditions, ses propres délais et ses propres autorités de délivrance. C’est un véritable labyrinthe.
Prenons l’exemple du permis de cryptographie. C’est l’un des plus sensibles. Si votre produit de cybersécurité utilise des algorithmes de chiffrement, vous devez passer par un processus d’examen très strict mené par le Bureau de la Cryptographie de l’État. Un de mes clients américains, qui développait un VPN d’entreprise, a passé 18 mois en phase de test. Pourquoi ? Parce que leur algorithme de chiffrement « propriétaire » n’était pas conforme aux normes nationales chinoises (SM2, SM3, SM4). Ils ont dû non seulement modifier leur code, mais aussi fournir une analyse de sécurité complète à des laboratoires chinois agréés.
La complexité réside aussi dans l’articulation de ces licences. Pour exercer, vous devez souvent détenir le « Permis de Sécurité du Réseau » de base, puis demander le permis de cryptographie, puis peut-être un agrément spécifique si vous gérez des données de localisation. Chaque licence est conditionnée par la précédente. C’est un processus séquentiel qui peut prendre 2 à 3 ans. Beaucoup d’entreprises sous-estiment ce temps et épuisent leur trésorerie avant même d’avoir le droit de vendre leur premier logiciel.
Mon astuce personnelle : engagez un consultant local spécialisé dès le début du projet. Ne vous fiez pas aux traductions approximatives des documents légaux. Un mot peut changer tout le sens. Par exemple, le terme « service de sécurité » peut être interprété de manière très large dans un contexte et très restrictive dans un autre. Chez Jiaxi Fiscal, nous avons un tableau de bord qui suit l’avancement de chaque dossier de licence. C’est un travail de fourmi, mais c’est la clé pour éviter le désastre.
三、核心团队的“安全背景”
Un angle souvent sous-estimé par les investisseurs étrangers est la composition de l’équipe dirigeante. L’article ne se contente pas d’exiger que le directeur général ou le représentant légal soit résident en Chine. Il impose que les responsables techniques, notamment le Responsable de la Sécurité des Systèmes d’Information (RSSI), aient un « background irréprochable ». Concrètement, cela signifie qu’ils ne doivent pas avoir d’antécédents judiciaires liés à des atteintes à la sécurité nationale, à l’espionnage ou à la violation de données.
Mais en pratique, c’est bien plus large que cela. L’administration peut examiner les affiliations politiques, les voyages à l’étranger, et même les publications sur les réseaux sociaux. Un de mes clients avait embauché un CTO taïwanais, un très bon ingénieur. Tout se passait bien, jusqu’au moment du dépôt du dossier. L’administration a demandé des documents supplémentaires prouvant que ce CTO n’avait pas de « liens avec des organisations séparatistes ». Le processus a été bloqué pendant 6 mois. La leçon est claire : même votre meilleur ingénieur doit pouvoir passer le filtre de la sécurité nationale.
Il ne s’agit pas de discrimination, mais d’une logique de souveraineté. La Chine considère la cybersécurité comme une extension de sa sécurité physique. Par conséquent, elle veut s’assurer que les personnes qui ont accès aux données ou aux systèmes ne représentent pas un risque. Pour les entreprises étrangères, cela implique de bien choisir ses cadres locaux. Privilégiez des profils avec une longue expérience en Chine, de préférence dans des entreprises d’État ou des grands groupes chinois, car leur « dossier » est plus facilement vérifiable et rassurant.
Je conseille toujours à mes clients de préparer un « dossier d’intégrité » pour chaque dirigeant. Cela comprend le curriculum vitae détaillé, une copie du passeport, un extrait de casier judiciaire local, mais aussi une lettre de recommandation d’un ancien employeur chinois, si possible. Cela peut sembler bureaucratique, mais cela fluidifie énormément le processus et montre votre bonne foi à l’administration.
四、数据本地化的铁律
Cet angle est probablement le plus sensible et le plus lourd de conséquences pour les entreprises étrangères. L’article rappelle implicitement les obligations de la Loi sur la Cybersécurité et de la Loi sur la Protection des Informations Personnelles (PIPL). Pour une société de cybersécurité, la question est fondamentale : toutes les données collectées durant l’activité (logs de pare-feu, données d’intrusion, rapports de vulnérabilité) sont-elles stockées en Chine ? La réponse est un « oui » quasiment sans exception.
Je me souviens d’une PME française qui développait un outil de test d’intrusion (pentest). Leur modèle logiciel était en mode SaaS, avec les serveurs en France. Ils pensaient que, puisque l’outil ne faisait que « scanner » des IP, les données ne « transitaient » pas. Grave erreur. L’administration a exigé que les résultats des tests, même provisoires, soient stockés sur un serveur en Chine, et que l’accès depuis la France soit strictement contrôlé et journalisé. Ils ont dû acheter un serveur à Shanghai et payer un hébergeur chinois agréé.
Cette obligation va bien au-delà du simple stockage. Elle implique que le personnel technique ayant accès à ces données doit être basé en Chine, et que toute exportation de ces données (même pour une analyse de performance) doit passer par une évaluation de sécurité (appelée « évaluation de l’exportation des données »). C’est un processus long et couteux. La solution pragmatique est de tout garder en local, et de bâtir une double infrastructure : une pour la Chine, une pour le reste du monde. C'est un investissement, mais c’est le prix à payer pour le marché chinois.
Un autre point crucial : le lieu de déploiement du siège social. L’article exige une adresse physique à Shanghai, dans une zone d’enregistrement définie. Les zones franches (comme le Free Trade Zone) offrent parfois des allègements administratifs, mais pour la cybersécurité, la localisation peut impacter la rapidité des inspections. Les districts comme Pudong ou Xuhui, où se concentrent les autorités de régulation, sont souvent privilégiés car les visites sur place sont plus faciles à organiser.
五、产品审核的“技术关”
Enfin, n’oublions pas que le produit lui-même doit passer un examen technique sévère. L’article sous-entend que les logiciels et matériels de cybersécurité doivent être soumis à des tests de sécurité et de performance dans des laboratoires chinois agréés. C’est ce qu’on appelle la « Certification de la Sécurité des Produits Informatiques ». Ce n’est pas une simple formalité ; c’est un véritable marathon technique.
Un cas concret : une société allemande, leader des solutions antivirus, voulait entrer sur le marché. Leur moteur de détection était considéré comme le meilleur au monde. Mais lors du test en laboratoire chinois, leur logiciel a détecté un « malware » dans un fichier système chinois standard. Le rapport a été bloqué. Pourquoi ? Parce que l’algorithme de signature allemand ne connaissait pas les signatures logicielles chinoises. Ils ont dû adapter leur base de signatures pour le marché chinois et le faire re-certifier.
Ce processus prend du temps. Il faut compter 6 à 12 mois pour une certification de produit. Pendant ce temps, votre produit ne peut pas être vendu. C’est une période de « trou d’air » financier qu’il faut absolument anticiper dans votre business plan. De plus, si votre produit évolue (mise à jour majeure), il faut souvent le re-certifier, ce qui est une contrainte permanente.
Mon point de vue personnel ici est que les entreprises étrangères doivent adopter une approche « glocale » : un noyau technologique global, mais des adaptations locales obligatoires. Ne considérez pas ces tests comme des obstacles, mais comme une validation de votre capacité à vous intégrer dans l’écosystème de sécurité chinois. Chez Jiaxi Fiscal, nous avons souvent recours à des partenaires techniques locaux pour préparer les dossiers de certification. C’est un investissement supplémentaire, mais il évite de mauvaises surprises.
### Conclusion : Le Juste Milieu entre Opportunité et Prudence Pour conclure, l’article « Conditions pour l'établissement d'une société de cybersécurité à capitaux étrangers à Shanghai » est un document qui dit tout haut ce que beaucoup pensent tout bas : la Chine ouvre la porte, mais elle en garde la serrure bien en main. Les points clés sont la maîtrise du pourcentage d’actionnariat, la navigation dans le labyrinthe des licences, la constitution d’une équipe locale crédible, l’ancrage des données en Chine et l’adaptation des technologies aux normes locales. L’objectif de ce cadre n’est pas d’exclure les étrangers, mais de les intégrer de manière maîtrisée, au service de la souveraineté numérique chinoise. C’est un équilibre subtil entre ouverture économique et protectionnisme stratégique. Pour l’investisseur, l’enjeu n’est pas de contourner ces règles, mais d’apprendre à danser avec elles. La recherche future sur ce sujet devra se concentrer sur l’évolution des régulations autour de l’IA en cybersécurité, car c’est le prochain champ de bataille réglementaire. En tant que praticien, je vois de plus en plus de sociétés étrangères qui réussissent en adoptant une posture humble et collaborative. Elles ne viennent pas « conquérir » le marché, mais « contribuer » à son écosystème. C’est la seule voie durable. --- ### 佳喜财税的展望 Chez Jiaxi Fiscal, nous accompagnons nos clients dans cette complexité avec une approche pragmatique. Notre perspective est claire : la cybersécurité est un secteur d’avenir à Shanghai, mais la clé du succès réside dans une préparation administrative en amont, minutieuse et stratifiée. Nous recommandons à nos clients de ne pas voir ces conditions comme une fin en soi, mais comme un guide pour structurer leur projet. En analysant votre business model et vos risques, nous vous aidons à choisir la meilleure structure juridique (WFOE, Joint Venture, VIE) et à établir un calendrier réaliste pour l’obtention de toutes les licences. L’anticipation est votre meilleure alliée. Nous croyons fermement que, avec la bonne stratégie de conformité, les investisseurs étrangers peuvent non seulement survivre, mais prospérer dans ce marché hautement régulé, en devenant des partenaires de confiance pour l’écosystème de sécurité numérique chinois. Ne sous-estimez jamais le pouvoir d’un dossier bien préparé.